Angesichts der steigenden Zahl von Angriffen auf die Lieferkette in der gesamten Softwarebranche und der umfangreichen Berichterstattung in den Medien haben wir uns gefragt, ob so etwas auch uns passieren könnte. Wenn Sicherheitsprobleme mit beispiellosen Auswirkungen zutage treten, ist es nur natürlich, sich die aufgedeckten Schwachstellen genauer anzusehen. Dennoch muss Sicherheit als ganzheitliches Konzept betrachtet werden, wobei die Gesamtsicherheit nur so stark ist wie das schwächste Glied in der Kette (das Wortspiel ist nicht beabsichtigt).
Avantra nutzt Full-Stack-Automatisierung zur Verwaltung von SAP-Landschaften, die in Unternehmen in der Regel eine entscheidende Rolle spielen. Kurz nach dem Angriff stellte sich die Frage, ob wir eine Stellungnahme dazu abgeben sollten. Wir haben uns dagegen entschieden, um nicht einfach auf den Zug aufzuspringen.
Die Kunden von Avantra stellen jedoch offensichtlich immer wieder dieselben Fragen. Und da viele unserer Kunden Managed Service Provider sind, stellen auch deren Kunden ihrerseits immer wieder diese Fragen. Deshalb möchten wir in diesem Artikel den allgemeinen Sicherheitsansatz von Avantra beschreiben – von der Entwicklung über die Bereitstellung bis hin zur Auslieferung.
ISO 27001 – Informationssicherheits-Management
Wir haben den größten Teil des Jahres 2020 der Einführung eines Informationssicherheits-Managementsystems nach der Norm ISO/IEC 27001 gewidmet, um von den darin enthaltenen Best Practices zu profitieren. Und wir haben uns entschlossen, unseren Kunden zu versichern, dass wir die Empfehlungen der Norm befolgen, indem wir uns im November 2020 zertifizieren ließen.
Einer der wahrscheinlich weniger bekannten Aspekte der Norm ISO 27001 ist, dass sie das Engagement der obersten Führungsebene der Organisation erfordert. Bei Avantra sind nicht weniger als drei Mitglieder des Führungsteams an der Umsetzung des ISMS beteiligt. Ein weiterer wichtiger Aspekt ist, dass die kontinuierliche Verbesserung fest verankert ist: Wir entwickeln das System ständig weiter. Es ist eine große Erleichterung zu wissen, dass man von einem bekannten Angriff verschont bleibt, aber um für die Zukunft gewappnet zu sein, muss man sich ständig verbessern!
Das ISMS deckt zwar viele Aspekte ab, doch spielt die sogenannte Richtlinie zur sicheren Softwareentwicklung eine zentrale Rolle. Ihr Zweck besteht darin, sicherzustellen, dass wir Code so entwickeln, dass die Sicherheit unserer Kunden und unseres Unternehmens gewahrt bleibt, und zu gewährleisten, dass dieser Code ordnungsgemäß getestet und validiert wurde, bevor er in einer Produktionsumgebung eingesetzt und für Kunden veröffentlicht wird. Die wichtigsten Bestandteile sind:
Risikobewertung: Bei jeder neuen Funktion und jeder größeren Softwareversion bewerten und kontrollieren wir die Risiken für Vertraulichkeit, Integrität und Verfügbarkeit. Dies ist fester Bestandteil der Arbeitsorganisation der Teams und wird an das ISMS-Team weitergeleitet: Wenn wir ein Risiko identifizieren, wird es regelmäßig nachverfolgt und überprüft, bis es gemindert ist.
Code-Integrität: Wir führen Code-Reviews durch, um sicherzustellen, dass potenzielle Sicherheitslücken im Code erkannt werden. Durch den Einsatz von Merge-Requests und einem verbindlichen Freigabeprozess stellen wir sicher, dass keine Codezeile in das Produkt aufgenommen wird, die nicht von einem anderen (erfahrenen) Entwickler geprüft wurde. Dieser Prozess wird durch eine automatisierte Code-Analyse ergänzt, die auf Branchenstandards wie OWASP, SANS CWE und CERT Secure Coding basiert und die häufigsten Sicherheitslücken abdeckt. Ebenso werden alle Bibliotheken von Drittanbietern, die wir in das Produkt integrieren, auf bekannte Schwachstellen überprüft.
Versionsverfolgung: Damit stellen wir sicher, dass nur die richtigen Code-Versionen getestet, bereitgestellt und ausgeliefert werden. Wir nutzen ein Versionskontrollsystem (Git), um jede einzelne Codezeile nachzuverfolgen, und weisen jeder von der automatisierten Build-Umgebung (oder CI/CD) erstellten Version eine Versionsnummer zu.
Sicherheitstests: Stellen sicher, dass bei der Konzeption und Entwicklung bewährte Verfahren umfassend berücksichtigt und Sicherheitsrisiken minimiert wurden. In diesen Bereich haben wir in der zweiten Jahreshälfte 2020 massiv investiert, wobei sich diese Bemühungen bis weit ins Jahr 2021 hinein erstrecken. Automatisierte Schwachstellentests werden durch regelmäßige manuelle Penetrationstests ergänzt, die von externen Anbietern durchgeführt werden. Und natürlich knüpfen die Sicherheitstests an die anfängliche Risikobewertung an, wobei Funktionen mit hohem Risiko durch gezielte Penetrationstests abgesichert werden. Wie oben erwähnt, muss Sicherheit auf integrierte Weise verwaltet werden, daher gibt es weitere Bereiche, die direkt oder indirekt an der Bereitstellung sicherer Software beteiligt sind:
Zugriffsverwaltung: Der Zugriff auf alle Ressourcen und Daten von Avantra erfolgt nach dem Prinzip der geringsten Berechtigungen. Dies umfasst selbstverständlich auch die Versionskontrolle, die Build-Systeme und die Softwarebereitstellung. Nur das Build-System und leitende Entwickler sind befugt, Releases in den Download-Bereich zu übertragen. Und nur Avantra-Kunden haben Zugriff auf den Download-Bereich. Alle Zugriffsberechtigungen werden regelmäßig überprüft und kontrolliert.
Netzwerksicherheit: Unsere Produktionsumgebung ist natürlich in erster Linie auf die Softwarebereitstellung ausgerichtet. Sie ist von allen Entwicklungssystemen getrennt, wobei zwischen den Umgebungen nur begrenzter und kontrollierter Datenverkehr zugelassen ist. Unsere Build-Umgebung ist vom Internet aus überhaupt nicht zugänglich.
Änderungsmanagement: Alle unsere Produktionsumgebungen und insbesondere das Build-System unterliegen einer Änderungskontrolle. Wie beim Quellcode selbst verlangen wir auch bei jeder Änderung der Build-System-Konfiguration die Anwendung des Vier-Augen-Prinzips. Bedeutet das, dass wir garantieren können, dass Angriffe über die Lieferkette unmöglich sind? In der IT-Sicherheit sollte man niemals „nie“ sagen, aber was wir tun können, ist, Sicherheitsrisiken zu bewerten und zu kontrollieren und unabhängige Dritte überprüfen und zertifizieren zu lassen, dass wir tun, was wir sagen. Das legt die Messlatte hoch. Sehr hoch.
Wo wir gerade beim Thema Sicherheit sind: Eine der wichtigsten Schnittstellen, die Avantra für die Anbindung an SAP-Systeme nutzt, wird als ABAP-Transport bereitgestellt. Alles, was darin implementiert ist, wurde ebenfalls nach dem Prinzip der geringsten Berechtigungen entwickelt! Und keine der Avantra-Komponenten benötigt Root-Rechte, um ausgeführt zu werden. Abonnieren Sie unseren Blog, um unverzichtbare Artikel direkt in Ihren Posteingang zu erhalten, und erfahren Sie mehr in unserem Sicherheits-Whitepaper!